本文详细介绍了防火墙的基本概念、状态防火墙的工作原理,以及如何处理双通道协议和NAT。状态防火墙通过会话表实现精细的包过滤,而ASPF技术则用于解决双通道协议的动态端口问题。NAT处理流程包括会话表匹配、目标和源地址转换、安全策略检查等步骤。此外,还探讨了防火墙的分类,如包过滤、代理和状态防火墙,以及UTM和下一代防火墙的特点。
目录
1. 什么是防火墙?
路由交换是连通性设备,防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的的设备
防火墙的区域;
区域的划分,根据安全等级来划分
2.状态防火墙工作原理:
状态防火墙:是一种能够提供状态封包检查或状态检视功能的防火墙
在包过滤(
ACL
表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
会话表可以用
hash
来处理形成定长值,使用
CAM
芯片处理,达到交换机的处理速度。
- 首包机制
- 细颗粒度
- 速度快
3.防火墙如何让处理双通道?
单通道协议:通信过程中只需占用一个端口的协议。如:http只占用80端口
双通道协议:通信过程中需占用两个或两个以上端口的协议。如:FTP被动模式下需占用21号端口以及一个随机端口(FTP主动模式下是20和21号端口),通道是随机协商出的,防火墙不能设置策略也无法形成会话表
解决办法,使用
ASPF
技术,查看协商端口号并动态建立
server-map
表放过协商通道的数据。
ASPF
(
Application Specific Packet Filter
,针对应用层的包过滤)也叫基于状态的报文过滤,
ASPF
功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,
开启
ASPF
功能后,
FW
通过 检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map
表,用于放行后续建立数据
4.防火墙如何让处理nat?
NAT处理报文的流程如下:
(1)防火墙收到报文后,首先检查报文是否匹配Server-map中的条目,如果是,则根据表项转换报文的目标地址,然后进行步骤(3)处理;否则进行步骤(2)处理。
(2)查找是否存在目标NAT的相关配置,如果是,并且符合NAT条件,则转换目标地址后进行步骤(3)处理;否则直接进行步骤(3)处理。
(3)根据报文的目标地址查找路由表,如果存在目标路由,则进行步骤(4)处理;否则丢弃报文。
(4)依次匹配安全策略中的规则,如果策略允许报文通过,则进行步骤(5)处理;否则丢弃报文。
(5)查找是否存在源NAT的相关配置及是否符合NAT条件,如果是,则转换源地址后进行步骤(6)处理;否则直接进行步骤(6)处理。
(6)在发送报文之前创建会话,后续和返回的报文可以直接匹配会话表转发。
(7)防火墙发送报文。
5.防火墙的分类以及技术?
包过滤防火墙
----
访问控制列表技术
---
三层技术
- 简单、速度快
- 检查的颗粒度粗
代理防火墙
----
中间人技术
---
应用层
- 降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。
- 代理技术只能针对特定的应用来实现,应用间不能通用。
- 技术复杂,速度慢
- 能防御应用层威胁,内容威胁
状态防火墙
---
会话追踪技术
---
三层、四层
在包过滤(
ACL
表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
会话表可以用
hash
来处理形成定长值,使用
CAM
芯片处理,达到交换机的处理速度。
- 首包机制
- 细颗粒度
- 速度快
UTM---
深度包检查技术
----
应用层
- 把应用网关和IPS等设备在状态防火墙的基础上进行整合和统一。
- 把原来分散的设备进行统一管理,有利于节约资金和学习成本
- 统一有利于各设备之间协作。
- 设备负荷较大并且检查也是逐个功能模块来进行的,貌合神离,速度慢。
下一代防火墙
是一款可以全面应对应用层威胁的高性能
防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理
引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的
网络安全架构。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
